SugarCRM GLOBALS[sugarEntry]参数... CVE-2006-2460 CNNVD-200605-374 CNVD-2006-3207
6.4
AV
AC
AU
C
I
A
发布:
2006-05-19
修订:
2018-10-18
Sugar是一种基于Web的CRM系统。 Sugar处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限读取系统上的任意文件,导致敏感信息泄露。 Sugar的多个脚本没有正确验证GLOBALS[sugarEntry]参数的输入,允许攻击者通过目录遍历串包含本地系统上的任意文件。
漏洞利用/PoC
当前有2条漏洞利用/PoC
受影响的平台与产品
当前有4条受影响产品信息
